Anda di halaman 1dari 14

Implementacion de un Sistema de Gestin de la Seguridad de la Informacin - SGSI

Dominios

Objetivos Controles posibles de aplicar


05. Politicas de Seguridad 5.1. Poltica de seguridad de la informacin 5.1.1. Documento de poltica de seguridad de la informacin 5.1.2. Revisin de la poltica de seguridad de la informacin

Acciones a Realizar

Doc de Politicas de Seg. Inf

06. Organizacin 6.1. Estructura para la seguridad de la informacin Crear el Area y reforzar el ROF para el cumplimiento de los Ctrl del SGSI 6.1.1. Comit de gestin de seguridad de la informacin Comit de Seg. Inf. (Participa un representante por Area) 6.1.2. Coordinacin de seguridad de la informacin 6.1.3. Asignacin de responsabilidades para la seguridad de la informacin Procedimiento y Adq Tools para su monitoreo 6.1.4. Proceso de autorizacin de recursos para el tratamiento de la informacin 6.1.5. Acuerdos de confidencialidad Politicas + Doc Interno con los trabajadores 6.1.6. Contacto con las autoridades Accion 6.1.7. Contacto con organizaciones de especial inters Accion 6.1.8. Revisin independiente de la seguridad de la informacin Verificacion In Situ y Elevacion Informe 6.2. Terceros 6.2.1. Identificacin de los riesgos derivados del acceso de terceros Buenas clausulas contractuales + Verif + Infor monitoreo 6.2.2. Tratamiento de la seguridad en la relacin con los clientes Verificacion In Situ y Elevacion Informe 6.2.3. Tratamiento de la seguridad en contratos con terceros Buenas clausulas contractuales + Verif + Infor monitoreo 07. Gestin de Activos 7.1. Responsabilidad sobre los activos. 7.1.1. Inventario de activos. 7.1.2. Responsable de los activos. 7.1.3. Acuerdos sobre el uso aceptable de los activos. 7.2. Clasificacin de la informacin 7.2.1. Directrices de clasificacin. 7.2.2. Marcado y tratamiento de la informacin. 08. Seguridad ligada a los Recursos Humanos 8.1. Seguridad en la definicin del trabajo y los recursos. 8.1.1. Inclusin de la seguridad en las responsabilidades laborales. 8.1.2. Seleccin y poltica de personal. 8.1.3. Trminos y condiciones de la relacin laboral. 8.2. Seguridad en el desempeo de las funciones del empleo. 8.2.1. Supervisin de las obligaciones. 8.2.2. Formacin y capacitacin en seguridad de la informacin. 8.2.3. Procedimiento disciplinario. 8.3. Finalizacin o cambio del puesto de trabajo. 8.3.1. Cese de responsabilidades. 8.3.2. Restitucin de activos. 8.3.3. Cancelacin de permisos de acceso. 09. Seguridad Fsica y del Entorno 9.1. reas seguras. 9.1.1. Permetro de seguridad fsica. 9.1.2. Controles fsicos de entrada. 9.1.3. Seguridad de oficinas, despachos y recursos. 9.1.4. Proteccin contra amenazas externas y del entorno. 9.1.5. El trabajo en reas seguras. 9.1.6. reas aisladas de carga y descarga. 9.2. Seguridad de los equipos. 9.2.1. Instalacin y proteccin de equipos. 9.2.2. Suministro elctrico. 9.2.3. Seguridad del cableado. 9.2.4. Mantenimiento de equipos. 9.2.5. Seguridad de equipos fuera de los locales de la Organizacin. 9.2.6. Seguridad en la reutilizacin o eliminacin de equipos. 9.2.7. Traslado de activos.

Procesos y Procedimiento para el inventario Proceso de Asignacion de Activos y Control de las mismas Formular el acuerdo Metodologia para la clasificacion de activos Proceso de Codificacion de Activos + Tools

Prononer en el RIT y en el Contrato Clausulas de Seg Ing + Fortalecerlos con Politicas Proponer TIPs para evaluacion de personal

10. Gestin de Comunicaciones y Operaciones


10.1. Procedimientos y responsabilidades de operacin. 10.1.1. Documentacin de procedimientos operativos.

1/14

Implementacion de un Sistema de Gestin de la Seguridad de la Informacin - SGSI


Dominios 10.1.2. Control de cambios operacionales. 10.1.3. Segregacin de tareas. 10.1.4. Separacin de los recursos para desarrollo y produccin. 10.2. Supervisin de los servicios contratados a terceros. 10.2.1. Prestacin de servicios. 10.2.2. Monitorizacin y revisin de los servicios contratados. 10.2.3. Gestin de los cambios en los servicios contratados. 10.3. Planificacin y aceptacin del sistema. 10.3.1. Planificacin de capacidades. 10.3.2. Aceptacin del sistema. 10.4. Proteccin contra software malicioso y cdigo mvil. 10.4.1. Medidas y controles contra software malicioso. 10.4.2. Medidas y controles contra cdigo mvil. 10.5. Gestin interna de soportes y recuperacin. 10.5.1. Recuperacin de la informacin. 10.6. Gestin de redes. 10.6.1. Controles de red. 10.6.2. Seguridad en los servicios de red. 10.7. Utilizacin y seguridad de los soportes de informacin. 10.7.1. Gestin de soportes extrables. 10.7.2. Eliminacin de soportes. 10.7.3. Procedimientos de utilizacin de la informacin. 10.7.4. Seguridad de la documentacin de sistemas. 10.8. Intercambio de informacin y software. 10.8.1. Acuerdos para intercambio de informacin y software. 10.8.2. Seguridad de soportes en trnsito. 10.8.3. Mensajera electrnica. 10.8.4. Interconexin de sistemas con informacin de negocio 10.8.5. Sistemas de informacin empresariales. 10.9. Servicios de comercio electrnico. 10.9.1. Seguridad en comercio electrnico. 10.9.2. Seguridad en transacciones en lnea. 10.9.3. Seguridad en informacin pblica. 10.10. Monitorizacin 10.10.1. Registro de incidencias. 10.10.2. Seguimiento del uso de los sistemas. 10.10.3. Proteccin de los registros de incidencias. 10.10.4. Diarios de operacin del administrador y operador. 10.10.5. Registro de fallos. 10.10.6. Sincronizacin de reloj. 11. Sistema de Control de Accesos 11.1. Requisitos de negocio para el control de accesos. 11.1.1. Poltica de control de accesos. 11.2. Gestin de acceso de usuario. 11.2.1. Registro de usuario. 11.2.2. Gestin de privilegios. 11.2.3. Gestin de contraseas de usuario. 11.2.4. Revisin de los derechos de acceso de los usuarios. 11.3. Responsabilidades del usuario. 11.3.1. Uso de contrasea. 11.3.2. Equipo informtico de usuario desatendido. 11.3.3. Polticas para escritorios y monitores sin informacin. 11.4. Control de acceso en red. 11.4.1. Poltica de uso de los servicios de red. 11.4.2. Autenticacin de usuario para conexiones externas. 11.4.3. Autenticacin de nodos de la red. 11.4.4. Proteccin a puertos de diagnstico remoto. 11.4.5. Segregacin en las redes. 11.4.6. Control de conexin a las redes. 11.4.7. Control de encaminamiento en la red. 11.5. Control de acceso al sistema operativo. 11.5.1. Procedimientos de conexin de terminales. 11.5.2. Identificacin y autenticacin de usuario. 11.5.3. Sistema de gestin de contraseas. 11.5.4. Uso de los servicios del sistema. Acciones a Realizar

2/14

Implementacion de un Sistema de Gestin de la Seguridad de la Informacin - SGSI


Dominios 11.5.5. Desconexin automtica de terminales. 11.5.6. Limitacin del tiempo de conexin. 11.6. Control de acceso a las aplicaciones. 11.6.1. Restriccin de acceso a la informacin. 11.6.2. Aislamiento de sistemas sensibles. 11.7. Informtica mvil y tele trabajo. 11.7.1. Informtica mvil. 11.7.2. Tele trabajo. 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 12.1. Requisitos de seguridad de los sistemas. 12.1.1. Anlisis y especificacin de los requisitos de seguridad. 12.2. Seguridad de las aplicaciones del sistema. 12.2.1. Validacin de los datos de entrada. 12.2.2. Control del proceso interno. 12.2.3. Autenticacin de mensajes. 12.2.4. Validacin de los datos de salida. 12.3. Controles criptogrficos. 12.3.1. Poltica de uso de los controles criptogrficos. 12.3.2. Cifrado. 12.4. Seguridad de los ficheros del sistema. 12.4.1. Control del software en explotacin. 12.4.2. Proteccin de los datos de prueba del sistema. 12.4.3. Control de acceso a la librera de programas fuente. 12.5. Seguridad en los procesos de desarrollo y soporte. 12.5.1. Procedimientos de control de cambios. 12.5.2. Revisin tcnica de los cambios en el sistema operativo. 12.5.3. Restricciones en los cambios a los paquetes de software. 12.5.4. Canales encubiertos y cdigo Troyano. 12.5.5. Desarrollo externalizado del software. 12.6. Gestin de las vulnerabilidades tcnicas. 12.6.1. Control de las vulnerabilidades tcnicas. 13. Gestin de Incidentes de Seguridad de la Informacin 13.1. Comunicacin de eventos y debilidades en la seguridad de la informacin. 13.1.1. Comunicacin de eventos en seguridad. 13.1.2. Comunicacin de debilidades en seguridad. 13.2. Gestin de incidentes y mejoras en la seguridad de la informacin. 13.2.1. Identificacin de responsabilidades y procedimientos. 13.2.2. Evaluacin de incidentes en seguridad. 13.2.3. Recogida de pruebas. 14. Gestin de Continuidad del Negocio 14.1. Aspectos de la gestin de continuidad del negocio. 14.1.1. Proceso de la gestin de continuidad del negocio. 14.1.2. Continuidad del negocio y anlisis de impactos. 14.1.3. Redaccin e implantacin de planes de continuidad. 14.1.4. Marco de planificacin para la continuidad del negocio. 14.1.5. Prueba, mantenimiento y reevaluacin de planes de continuidad. 15. Conformidad 15.1. Conformidad con los requisitos legales. 15.1.1. Identificacin de la legislacin aplicable. 15.1.2. Derechos de propiedad intelectual (IPR). 15.1.3. Salvaguarda de los registros de la Organizacin. 15.1.4. Proteccin de datos de carcter personal y de la intimidad de las personas. 15.1.5. Evitar mal uso de los dispositivos de tratamiento. de la informacin. 15.1.6. Reglamentacin de los controles de cifrados. 15.2. Revisiones de la poltica de seguridad y de la conformidad tcnica. 15.2.1. Conformidad con la poltica de seguridad. 15.2.2. Comprobacin de la conformidad tcnica. 15.3. Consideraciones sobre la auditoria de sistemas. 15.3.1. Controles de auditoria de sistemas. 15.3.2. Proteccin de las herramientas de auditoria de sistemas. (*) Leyenda: Segn el ROF se determina el nivel de responsabilidad que tendrian cada Area de la Direccin TI en la implementacin N/A No Aplicable Acciones a Realizar

3/14

Implementacion de un Sistema de Gestin de la Seguridad de la Informacin - SGSI


Dominios DTI SDDyS SDAC SDO JAN JAA JCA JCE JDC JHD JTE JPMO JSI Director de Tecnologias de Informacion Subdirector de Desarrollo y Soluciones de TI Subdirector de Aseguramiento de Calidad Subdirector de Operaciones Jefe de Aplicaciones de Negocio Jefe de Aplicaciones Administrativas Jefe de Calidad Jefe de Certificacion Jefe de Data Center Jefe de Help Desk Jefe de Telecomunicaciones Jefe de la Oficina de la Direccin de Proyectos Jefe de Seguridad de la Informacin Acciones a Realizar

4/14

Responsable (*)

JSI

DTI DTI JSI (CISO) JSI JSI (CISO) JSI (CISO) CISO JSI (CISO) CISO JSI (CISO)

SDO SDO JSI (CISO) SDAC SDO

JSI JSI

5/14

Responsable (*)

6/14

Responsable (*)

7/14

Responsable (*)

8/14

08. Seguridad ligada a los Recursos Humanos La estructura de este punto de la norma es: 8.1. Seguridad en la definicin del trabajo y los recursos. 8.1.1. Inclusin de la seguridad en las responsabilidades laborales. 8.1.2. Seleccin y poltica de personal. 8.1.3. Trminos y condiciones de la relacin laboral. 8.2. Seguridad en el desempeo de las funciones del empleo. 8.2.1. Supervisin de las obligaciones. 8.2.2. Formacin y capacitacin en seguridad de la informacin. 8.2.3. Procedimiento disciplinario. 8.3. Finalizacin o cambio del puesto de trabajo. 8.3.1. Cese de responsabilidades. 8.3.2. Restitucin de activos. 8.3.3. Cancelacin de permisos de acceso. 09. Seguridad Fsica y del Entorno La estructura de este punto de la norma es: 9.1. reas seguras. 9.1.1. Permetro de seguridad fsica. 9.1.2. Controles fsicos de entrada. 9.1.3. Seguridad de oficinas, despachos y recursos. 9.1.4. Proteccin contra amenazas externas y del entorno. 9.1.5. El trabajo en reas seguras. 9.1.6. reas aisladas de carga y descarga. 9.2. Seguridad de los equipos. 9.2.1. Instalacin y proteccin de equipos. 9.2.2. Suministro elctrico. 9.2.3. Seguridad del cableado. 9.2.4. Mantenimiento de equipos. 9.2.5. Seguridad de equipos fuera de los locales de la Organizacin. 9.2.6. Seguridad en la reutilizacin o eliminacin de equipos. 9.2.7. Traslado de activos.

esponsabilidades laborales.

ridad de la informacin.

nas y del entorno.

locales de la Organizacin. minacin de equipos.

10. Gestin de Comunicaciones y OperacionesTabla de contenidosNo hay encabezad La estructura de este punto de la norma es: 10.1. Procedimientos y responsabilidades de operacin. 10.1.1. Documentacin de procedimientos operativos. 10.1.2. Control de cambios operacionales. 10.1.3. Segregacin de tareas. 10.1.4. Separacin de los recursos para desarrollo y produccin. 10.2. Supervisin de los servicios contratados a terceros. 10.2.1. Prestacin de servicios. 10.2.2. Monitorizacin y revisin de los servicios contratados. 10.2.3. Gestin de los cambios en los servicios contratados. 10.3. Planificacin y aceptacin del sistema. 10.3.1. Planificacin de capacidades. 10.3.2. Aceptacin del sistema. 10.4. Proteccin contra software malicioso y cdigo mvil. 10.4.1. Medidas y controles contra software malicioso. 10.4.2. Medidas y controles contra cdigo mvil. 10.5. Gestin interna de soportes y recuperacin. 10.5.1. Recuperacin de la informacin. 10.6. Gestin de redes. 10.6.1. Controles de red. 10.6.2. Seguridad en los servicios de red. 10.7. Utilizacin y seguridad de los soportes de informacin. 10.7.1. Gestin de soportes extrables. 10.7.2. Eliminacin de soportes. 10.7.3. Procedimientos de utilizacin de la informacin. 10.7.4. Seguridad de la documentacin de sistemas. 10.8. Intercambio de informacin y software. 10.8.1. Acuerdos para intercambio de informacin y software. 10.8.2. Seguridad de soportes en trnsito. 10.8.3. Mensajera electrnica. 10.8.4. Interconexin de sistemas con informacin de negocio 10.8.5. Sistemas de informacin empresariales. 10.9. Servicios de comercio electrnico. 10.9.1. Seguridad en comercio electrnico. 10.9.2. Seguridad en transacciones en lnea. 10.9.3. Seguridad en informacin pblica. 10.10. Monitorizacin 10.10.1. Registro de incidencias. 10.10.2. Seguimiento del uso de los sistemas.

10.10.3. Proteccin de los registros de incidencias. 10.10.4. Diarios de operacin del administrador y operador. 10.10.5. Registro de fallos. 10.10.6. Sincronizacin de reloj.

11. Control de AccesosTabla de contenidosNo hay encabezados La estructura de este punto de la norma es: 11.1. Requisitos de negocio para el control de accesos. 11.1.1. Poltica de control de accesos. 11.2. Gestin de acceso de usuario. 11.2.1. Registro de usuario. 11.2.2. Gestin de privilegios. 11.2.3. Gestin de contraseas de usuario. 11.2.4. Revisin de los derechos de acceso de los usuarios. 11.3. Responsabilidades del usuario. 11.3.1. Uso de contrasea. 11.3.2. Equipo informtico de usuario desatendido. 11.3.3. Polticas para escritorios y monitores sin informacin. 11.4. Control de acceso en red. 11.4.1. Poltica de uso de los servicios de red. 11.4.2. Autenticacin de usuario para conexiones externas. 11.4.3. Autenticacin de nodos de la red. 11.4.4. Proteccin a puertos de diagnstico remoto. 11.4.5. Segregacin en las redes. 11.4.6. Control de conexin a las redes. 11.4.7. Control de encaminamiento en la red. 11.5. Control de acceso al sistema operativo. 11.5.1. Procedimientos de conexin de terminales. 11.5.2. Identificacin y autenticacin de usuario. 11.5.3. Sistema de gestin de contraseas. 11.5.4. Uso de los servicios del sistema. 11.5.5. Desconexin automtica de terminales. 11.5.6. Limitacin del tiempo de conexin. 11.6. Control de acceso a las aplicaciones. 11.6.1. Restriccin de acceso a la informacin. 11.6.2. Aislamiento de sistemas sensibles. 11.7. Informtica mvil y tele trabajo. 11.7.1. Informtica mvil. 11.7.2. Tele trabajo.

de contenidosNo hay encabezados

lo y produccin.

os contratados. contratados.

n y software.

n de negocio

y operador.

ncabezados

eso de los usuarios.

esatendido. ores sin informacin.

nexiones externas.

ico remoto.

erminales.

Anda mungkin juga menyukai